Experti v oblasti kybernetické bezpečnosti podrobně popsali nový phishingový kit typu „útočník uprostřed“ (AitM), který je schopen zaměřit se na účty Microsoft 365 s cílem krást přihlašovací údaje a kódy dvoufaktorové autentizace (2FA) minimálně od října 2024.
Tento nový phishingový kit byl francouzskou společností pro kybernetickou bezpečnost Sekoia pojmenován jako Sneaky 2FA, která jej detekovala v prosinci 2024. Do tohoto měsíce bylo identifikováno téměř 100 domén hostujících phishingové stránky Sneaky 2FA, což naznačuje mírné přijetí mezi útočníky.
„Tento kit je prodáván jako phishing-as-a-service (PhaaS) kyberzločineckou službou ‚Sneaky Log‘, která funguje prostřednictvím bota na Telegramu,“ uvedla společnost ve své analýze. „Zákazníci údajně získávají přístup k licencované obfuskované verzi zdrojového kódu a nasazují ji samostatně.“
Phishingové kampaně byly pozorovány při rozesílání e-mailů souvisejících s potvrzením platby, aby nalákaly příjemce k otevření falešných PDF dokumentů obsahujících QR kód, který po naskenování přesměruje uživatele na stránky Sneaky 2FA.
Sekoia uvedla, že phishingové stránky jsou hostovány na kompromitované infrastruktuře, většinou zahrnující weby na WordPressu a další domény kontrolované útočníkem. Falešné autentizační stránky jsou navrženy tak, aby automaticky vyplnily e-mailovou adresu oběti, čímž zvyšují svou důvěryhodnost.
Kit se také chlubí několika opatřeními proti botům a analýze, využívá techniky jako filtrování provozu a výzvy Cloudflare Turnstile, aby zajistil, že na stránky pro sběr přihlašovacích údajů budou přesměrovány pouze oběti, které splňují určitá kritéria. Dále provádí řadu kontrol, aby detekoval a odolal pokusům o analýzu pomocí vývojářských nástrojů webového prohlížeče.
Zdroj: The Hacker News
Zdroj: IT SECURITY NETWORK NEWS
